Étape 2 : Configuration des services réseau

Vue d’ensemble

Ce segment couvre les services réseau nécessaires pour héberger un emplacement de ressources Citrix Cloud sur Google Cloud. La réalisation du dernier objectif vous laisse avec un projet vide sur Google Cloud, dans lequel nous construisons un système de virtualisation Citrix. Cette section vise à intégrer les services liés à la mise en réseau nécessaires pour atteindre notre objectif principal. La création et la configuration d’un réseau deviennent complexes par rapport à la taille des exigences système sous-jacentes de l’entreprise. Essentiellement, un système de virtualisation Citrix sur Google Cloud nécessite les éléments suivants pour fonctionner :

  • Un Virtual Private Cloud (VPC) pour interconnecter les VDA Citrix et les Citrix Cloud Connector.

  • Méthode permettant aux Citrix Cloud Connector (et éventuellement aux VDA) d’interagir avec les services Web gérés (API) de Citrix Cloud. Les deux nécessitent uniquement une connectivité sortante, généralement fournie par le serviceCloud NATde Google.

  • Méthode permettant aux Citrix Cloud Connector de communiquer avec lesAPI Google Cloud. Une fonctionnalité Google Cloud VPC appelée accès privé Google doit être activée pour permettre la communication.

  • Méthode permettant aux Citrix Cloud Connector et aux VDA de communiquer avec Active Directory et d’autres ressources réseau, y compris Internet. Le service DNSGoogle Cloud est une méthode courante pour fournir un DNSdans un système de virtualisation Citrix.

  • Une couche réseau sécurisée à l’aide du pare-feu Google VPC.

Votre organisation peut disposer d’une méthode différente pour déployer les fonctionnalités nécessaires que nous décrivons ici. Si les objectifs sont atteints et vérifiés sur le plan fonctionnel, vous devriez être sur la bonne voie pour créer l’environnement de virtualisation Citrix.

1 Créer/accéder à un réseau pour les VDA et les Cloud Connector

Sur Google Cloud, les ressources des machines virtuelles ont besoin d’un réseau VPC pour communiquer. Un VPC se trouve au sein d’un projet Google Cloud spécifique et peut être partagé entre plusieurs projets selon les besoins. Google appelle cette dernière fonctionnalitéShared VPC. Citrix Cloud prend en charge le déploiement de VDA Citrix sur des réseaux VPC partagés. L’installation et la configuration ne sont pas détaillées dans ce guide simplifié.

Un VPC est une construction globale de projet, ce qui signifie qu’il peut couvrir non seulement des zones à l’intérieur de régions, mais également des régions du monde entier. Au moins un sous-réseau est requis dans chaque région où les machines virtuelles sont déployées.

Pour ce guide de déploiement, un réseau VPC est utilisé pour fournir la connectivité interne (privée) entre les trois zones Google (us-west1-a, us-west1-b et us-west1-c). Un VPC est une version virtuelle d’un réseau physique implémenté au sein du réseau Google. Un VPC est considéré comme une ressource globale et n’est associé à aucune région ou zone Google. Un réseau VPC peut être créé en mode automatique ou en mode personnalisé. Le réseau VPC en mode automatique crée automatiquement un sous-réseau unique par région lors de la création du réseau. Au fur et à mesure que de nouvelles régions sont disponibles, de nouveaux sous-réseaux dans ces régions sont automatiquement ajoutés au réseau en mode automatique. Un réseau VPC en mode personnalisé nécessite la création manuelle de tous les sous-réseaux. Notez également qu’il existe un coût associé aux flux de trafic sur Google Cloud. Le trafic entrant du VPC est gratuit. Le trafic sortant vers la même zone, vers un service GCP différent dans la même région et vers les produits Google est gratuit. Cependant, il y a un coût pour le trafic sortant entre les zones de la même région ou des régions des États-Unis.

virtual-private-cloud

L’objectif de cette tâche est de créer un VPC fonctionnel qui sera utilisé pour créer un emplacement de ressources Citrix Cloud sur Google Cloud. Cette tâche peut être considérée comme terminée lorsque le compte de service Citrix Cloud (créé précédemment) peut déployer une machine virtuelle sur un VPC fonctionnel.

1.1 Création d’un réseau et d’un sous-réseau VPC

  1. Cliquez sur l’icône de hamburger, située dans le coin supérieur gauche de la console Google

  2. Accédez au réseau VPC

  3. Cliquez sur Réseaux VPC

    vpc-networks

  4. Cliquez sur Créer un réseau VPC

    vpc-networks-create

  5. Entrez un nom unique pour le réseau VPC : citrixcloudnetwork

  6. Entrez une description pour le réseau VPC : Citrix Cloud Network

    vpc-networks-input-description

  7. Sélectionnez Personnalisé

  8. Entrez un nom unique pour le nom du sous-réseau : citrixcloudsubnet

  9. Entrez une description pour le sous-réseau : Sous-réseau Citrix Cloud Infrastructure

  10. Sélectionnez la région US-West1

  11. Entrez la plage d’adresses IP suivante : 10.240.1.0/24

  12. Sélectionnez Activé pour la section Accès privé à Google . L’accès privé à Google permet aux Citrix Cloud Connector de communiquer avec les API Google Cloud.

  13. Cliquez sur Terminé

    vpc-networks-clic-done

  14. Sélectionnez Régional dans la section Mode de routage dynamique .

  15. Cliquez sur Créer pour terminer le processus de création du réseau VPC.

    vpc-networks-creation-process

  16. Valider le réseau VPC créé avec succès

    vpc-networks-create-successfully

1.2 Configurer la connectivité sortante vers Citrix Cloud

Citrix Cloud est conçu sur la base d’une suite d’API accessibles en toute sécurité via Internet. Les machines virtuelles Citrix Cloud Connector doivent être en mesure de communiquer avec Citrix Cloud pour fonctionner. Bien qu’il existe de nombreuses façons d’atteindre cet objectif, nous allons utiliser Google Cloud NATpour ce guide. Le service Cloud NAT est utilisé pour permettre la communication entre Citrix Cloud et Google Cloud. Cloud NAT permet à certaines ressources sans adresse IP externe de créer des connexions sortantes vers Internet. S’il est nécessaire d’établir une connexion entre le centre de données sur site et GCP, Cloud Interconnect fournit une connexion à faible latence et haute disponibilité. Cloud Interconnect permet la communication d’adresses IP internes, ce qui signifie que les adresses IP internes sont directement accessibles depuis les deux réseaux. Toutefois, le trafic entre le réseau local et le réseau GCP ne traverse pas l’Internet public. Vous pouvez choisir de déployer une interconnexion dédiée ou partenaire pour assurer la connectivité entre le centre de données sur site et GCP.

Avant de configurer Cloud NAT, vous devez configurer le Cloud Router tel que Cloud NAT l’utilise.

Remarque

Le rôle Rôles/Compute.NetworkAdmin vous donne les autorisations nécessaires pour effectuer les opérations suivantes :

  • créer une passerelle NAT sur Cloud Router
  • réserver et attribuer des adresses IP NAT
  • spécifier le trafic de sous-réseau autorisé à utiliser la traduction d’adresses réseau par la passerelle NAT

1.2.1 Étape 1 : Déployer un routeur Google Cloud

  1. Cliquez sur l’icône de hamburger, située dans le coin supérieur gauche de la console Google

  2. Accédez à Connectivité hybride

  3. Cliquez sur Cloud Routers

    cloud-routers

  4. Cliquez sur Créer un routeur

    cloud-routers-create

  5. Entrez un nom unique pour le routeur cloud : citrixcloudrouter

  6. Entrez une description pour le routeur cloud : Citrix Cloud Router

  7. Sélectionnez le réseau créé dans la section Virtual Private Cloud  : citrixcloudnetwork

  8. Sélectionnez la région us-west1

  9. Entrez la valeur ASN Google. Vous pouvez utiliser n’importe quelle valeur ASN privée (de 64512 à 65534, de 4200000000 à 4294967294)

  10. Entrez la valeur d’intervalle keepalive de l’homologue BGP 20 (par défaut)

  11. Cliquez sur Créer

    create-cloud-router

  12. Validez que le routeur cloud est créé avec succès

    cloud-routers-validated-successfully

1.2.2 Étape 2 : Déployer Google Cloud NAT

  1. Cliquez sur l’icône de hamburger, située dans le coin supérieur gauche de la console Google

  2. Accédez à Services réseau

  3. Cliquez sur Cloud NAT

    cloud-nat

  4. Cliquez sur Commencer

    cloud-nat-get-started

  5. Entrez un nom unique pour le Cloud NAT : citrixcloudnatgateway

  6. Sélectionnez le réseau VPC créé dans la section Virtual Private Cloud  : citrixcloudnetwork

  7. Sélectionnez la région us-west1

  8. Sélectionnez le routeur Cloud déployé à l’étape 1

  9. Cliquez sur Créer

    cloud-nat-gateway

  10. Validez que le Cloud NAT est créé avec succès

    cloud-nat-validated

1.2.3 Configuration des services DNS via Google Cloud DNS

Les services DNS (Domain Name System) constituent une exigence de base pour que tout réseau connecté puisse fournir une résolution de nom et une exigence minimale pour la fonctionnalité Microsoft Active Directory. Pour prendre en charge un emplacement de ressources Citrix Cloud fonctionnel, les Citrix Cloud Connector et les VDA doivent localiser Active Directory et Citrix Cloud et communiquer avec eux. Google Cloud DNS est un service de système de noms de domaine (DNS) global performant et résilient qui publie les noms de domaine sur le DNS mondial. Le Cloud DNS se compose de zones publiques et de zones DNS gérées privées. Une zone publique est visible sur l’Internet public, tandis qu’une zone privée n’est visible que depuis un Cloud privé virtuel (VPC) plus spécifique. Vous déployez Cloud DNS pour fournir une résolution de nom au domaine ctx.lab avec un type de zone de transfert privée. Les adresses IP des serveurs DNS privés suivantes sont configurées manuellement au fur et à mesure que vous progressez dans ce document :

  • 10.240.1.2
  • 10.240.1.3
  1. Cliquez sur l’icône de hamburger, située dans le coin supérieur gauche de la console Google

  2. Accédez à Services réseau

  3. Cliquez sur Cloud DNS

    cloud-dns

  4. Cliquez sur Créer une zone

    cloud-dns-zone

  5. Sélectionnez Privé sous le type de zone

  6. Entrez un nom unique pour le nom de la zone : citrix-on-gcp-zone

  7. Entrez un nom DNS unique : ctx.lab

  8. Entrez une description unique : Zone de transfert pour intégrer Google DNS à Active Directory

  9. Cliquez sur le menu déroulant Options et sélectionnez Transférer les requêtes vers un autre serveur

  10. Dans la section Réseaux, cliquez sur le menu déroulant et sélectionnez le réseau créé dans la section Virtual Private Cloud  : citrixcloudnetwork.

  11. Entrez la première adresse IP DNS : 10.240.1.2

  12. Cliquez sur Ajouter un élément

  13. Entrez la deuxième adresse IP DNS : 10.240.1.3

  14. Cliquez sur Créer

    cloud-dns-create-zone

  15. Valider la zone DNS créée avec succès

    cloud-dns-zone-validate

2 Configurer la sécurité de la couche réseau à l’aide du pare-feu Google Cloud VPC

Pour des raisons évidentes, chaque système de production et/ou connecté à Internet doit être doté de plusieurs couches de sécurité. Le pare-feu VPC est l’une des nombreuses fonctionnalités de sécurité proposées par Google Cloud. Les règles de pare-feu VPC autorisent ou refusent le trafic entrant et sortant. Les règles de pare-feu VPC sont basées sur un ensemble flexible de stratégies définies. Les règles de pare-feu du VPC sont attachées au VPC et aux machines virtuelles. Les règles de pare-feu VPC sont définies au niveau du réseau, et les connexions sont autorisées ou refusées par instance. Le pare-feu VPC protège les instances au sein du même réseau VPC et entre une instance et d’autres réseaux VPC.

Un emplacement de ressources Citrix Cloud nécessite certaines règles de pare-feu de base pour fonctionner. Le tableau suivant récapitule le protocole, les ports et les balises réseau qui sont nécessaires/autorisés pour que ce déploiement fonctionne. Les tâches qui suivent vous guident dans la création de règles de pare-feu adaptées :

Description Flux de trafic Tags réseau cibles Plage IP source Protocole et ports
Autoriser le trafic interne entre le contrôleur de domaine et les autres instances de VM Entrée d.c. 10.240.1.0/24 TCP: 88, 135, 389, 445, 464, 636, 3268, 3269, 5985, 9389, 49152-65535 UDP: 88, 123, 389, 464
Autoriser le transfert depuis Google DNS Entrée dns 35.199.192.0/19 10.240.1.0/24 TCP : 53 UDP : 53
Autoriser le trafic depuis Cloud Connector vers le VDA Entrée vda 10.240.1.0/24 TCP : 80, 443, 1494, 2598, 8008 UDP : 1494, 2598, 16500-16509
Autoriser le trafic provenant du VDA et du Cloud Connector Entrée cc 10.240.1.0/24 TCP : 80

Nous utilisons les balises réseau cibles pour appliquer ces règles aux machines virtuelles que nous créerons plus loin dans ce guide.

2.1.1 Créer une règle de pare-feu pour autoriser le trafic interne vers Active Directory

  1. Cliquez sur l’icône de hamburger, située dans le coin supérieur gauche de la console Google

  2. Accédez au réseau VPC

  3. Cliquez sur Firewall

    vpn-network-firewall

  4. Cliquez sur Créer une règle de pare-feu

    firewall-create-rule

  5. Entrez un nom unique pour la règle de pare-feu : citrix-allow-internal-dc

  6. Entrez une description : Autoriser le trafic interne entre les instances

  7. Sélectionnez le réseau créé dans la section Virtual Private Cloud  : citrixcloudnetwork

  8. Définissez l’option Direction du trafic sur Entrée

  9. Définissez l’option Autoriser en cas de correspondance sur Autoriser

  10. Entrez les balises de cible réseau qui sont configurées sous le déploiement de l’instance de calcul Google : dc

    créer-une-règle de pare-feu

  11. Définissez les plages d’adresses IP source sur 10.240.1.0/24

  12. Sélectionnez l’option Protocole et ports spécifiés

  13. Cochez la case tcp et entrez les ports autorisés : 88, 135, 389, 445, 464, 636, 3268, 3269, 5985, 9389, 49152-65535

  14. Cochez la case UDP et entrez les ports autorisés : 88, 123, 389, 464

  15. Cliquez sur Créer

    firewall-create-rule-udp-tcp

2.1.2 Créer une règle de pare-feu pour autoriser le transfert depuis Google Cloud DNS

  1. Cliquez sur Créer une règle de pare-feu

    create-firewall-rule-allow-dns

  2. Entrez un nom unique pour la règle de pare-feu : citrix-allow-external-dns

  3. Entrez une description : Autoriser le transfert depuis Google DNS

  4. Sélectionnez le réseau créé dans la section Virtual Private Cloud  : citrixcloudnetwork

  5. Définissez l’option Direction du trafic sur Entrée

  6. Définissez l’option Autoriser en cas de correspondance sur Autoriser

  7. Entrez les balises de cible réseau configurées sous le déploiement de l’instance de calcul Google : dns

    create-firewall-rule-dns

  8. Définissez les plages d’adresses IP source sur 35.199.192.0/19 et 10.240.1.0/24

  9. Sélectionnez l’option Protocole et ports spécifiés

  10. Cochez la case TCP et entrez les ports autorisés : 53

  11. Cochez la case UDP et entrez les ports autorisés : 53

  12. Cliquez sur Créer

    create-firewall-ip-range

2.1.3 Créer une règle de pare-feu pour autoriser le trafic du Cloud Connector vers le VDA

  1. Cliquez sur Créer une règle de pare-feu

    create-firewall-rule-vda

  2. Entrez un nom unique pour la règle de pare-feu : citrix-allow-internal-cc-vda

  3. Entrez une description : Autoriser le trafic du Cloud Connector vers le VDA

  4. Sélectionnez le réseau créé dans la section Virtual Private Cloud  : citrixcloudnetwork

  5. Définissez l’option Direction du trafic sur Entrée

  6. Définissez l’option Autoriser en cas de correspondance sur Autoriser

  7. Entrez les balises de cible réseau qui sont configurées sous le déploiement de l’instance de calcul Google : vda

    create-a-firewall-rule-vda

  8. Définissez les plages d’adresses IP source sur 10.240.1.0/24

  9. Sélectionnez l’ option Protocole et ports spécifiés

  10. Cochez la case TCP et entrez les ports autorisés : 80, 443, 1494, 2598, 8008

  11. Cochez la case UDP et entrez les ports autorisés : 1494, 2598, 16500-16509

  12. Cliquez sur Créer

    create-a-firewall-rule-vda-ip-range

2.1.4 Créer une règle de pare-feu pour autoriser le trafic du VDA vers Cloud Connector

  1. Cliquez sur Créer une règle de pare-feu

    create-firewall-vda-to-cloud

  2. Entrez un nom unique pour la règle de pare-feu : citrix-allow-internal-vda-cc

  3. Entrez une description : Autoriser le trafic du VDA vers Cloud Connector

  4. Sélectionnez le réseau créé dans la section Virtual Private Cloud  : citrixcloudnetwork

  5. Définissez l’option Direction du trafic sur Entrée

  6. Définissez l’option Autoriser en cas de correspondance sur Autoriser

  7. Entrez les balises de cible réseau configurées sous le déploiement de l’instance de calcul Google : cc

    create-firewall-rule-vda-to-cloud

  8. Définissez les plages d’adresses IP source sur 10.240.1.0/24

  9. Sélectionnez l’ option Protocole et ports spécifiés

  10. Cochez la case tcp et entrez les ports autorisés : 80

  11. Cliquez sur Créer

    create-firewall-rule-vda-to-cloud-ip-range

Étape 2 : Configuration des services réseau